网络安全接入的认证方法及其实现该方法的认证系统与流程

本发明公开一种网络安全接入技术，特别涉及一种网络安全接入的认证方法及其实现该方法的认证系统。

背景技术：

随着接入网络设备数量和种类的急剧增加，网络管理问题和安全问题日趋严峻，而网络用户对接入网络需求各异，传统的安全接入系统越来越难以适应网络规模增大和用户需求多样性的要求，使得传统网络接入的弊端日益突显。Web认证是目前运用较广的一种安全接入认证方式，它依托于Web浏览器，通过HTTP协议和Web认证服务器进行交互认证。目前的IP服务质量(Quality of Service，QoS)技术主要采用的是差分服务模型：当网络出现拥塞时，根据业务的不同服务等级约定，有差别地进行流量控制和转发来解决拥塞问题。它通过网络终端在发送的IP报文中设置差分服务代码点(Differentiated ServicesCode Point，DSCP)(DSCP分别对应IPv4报文中的TOS字段和IPv6报文中的Traffic Class字段)，网络中的路由转发节点再根据IP报文的DSCP值，进行队列调度、分组丢弃等不同的QoS控制。现有技术主要存在以下缺点与不足：1、由于没有对通过Web认证的用户IP报文进行的源MAC地址、源IP地址的合法性检查，因而可能产生虚假地址欺骗及相关网络攻击，并且这类网络欺骗和攻击行为难以追踪，使得网络管理人员越来越难以对网络实行有效管理。2、由于IP报文的DSCP值主要由用户终端在发送报文时设置，网络接入系统没有对IP报文的DSCP值进行合法性检查，因而导致网络中出现某些IP报文的DSCP值不规范或DSCP值欺骗等问题，网络服务提供商难以根据IP报文的DSCP值对各种业务提供差分服务。

技术实现要素：

针对上述缺点与不足，本发明提供一种基于交换机的网络安全接入系统，该系统可以在网络接入层通过Web认证的方式实现接入用户的多元组绑定，以及实现对用户IP报文DSCP值的检查和设置。

本发明解决其技术问题采用的技术方案是：一种网络安全接入的认证方法，该方法包括以下步骤：

(1)新用户终端接入网络，发起HTTP协议的Web访问请求，安全接入控制交换机的Web认证模块拦截用户访问请求，学习用户终端的相关多元组信息，并重定向用户访问到Web接入认证服务器，学习用户终端多元组信息是指通过捕获和分析用户终端发出的HTTPAC地址用户多元组信息、用户终端IP地址用户多元组信息、用户终端接入的VLAN号用户多元组信息和用户终端接入的交换机端口号用户多元组信息；用户终端信息学习单元可通过捕获和解释用户终端发出的HTTP连接报文中的第一个TCP连接数据报文中获得多元组信息；

(2)Web接入认证服务器验证重定向信息，如果正确，则Web接入认证服务器从重定向信息中提取交换机IP地址和用户终端多元组信息，并返回用户终端认证Web页面；

(3)用户在用户终端的认证页面上输入用户名和密码，Web接入认证服务器对用户进行认证，如果未通过认证，则继续执行步骤(3)；

(4)用户如通过认证，则Web接入认证服务器查询用户的QoS接入等级，得到用户对应的DSCP值；

(5)Web接入认证服务器通过控制接口模块发送认证通过信息和DSCP值给安全接入控制交换机；

(6)安全接入控制交换机收到Web接入认证服务器的认证通过信息和DSCP值后，安全接入控制交换机执行用户认证通过相关动作，允许符合对应多元组信息的报文通过；同时检查和设置用户报文的DSCP值，使得用户IP报文的DSCP值通过安全接入控制交换机后均设置为相应值。

一种实现如上述的网络安全接入的认证方法的网络安全接入的认证系统，该系统包括：安全接入控制交换机、Web接入认证服务器和用户终端，所述Web接入认证服务器通过网络与安全接入控制交换机互联，所述安全接入控制交换机通过接入网络连接用户终端；所述Web接入认证服务器用于用户终端接入管理、Web认证、对所述安全接入控制交换机进行接入控制和QoS设置、与外部系统进行交互以及记录用户终端接入认证相关日志；所述安全接入控制交换机用于学习和维护用户终端的多元组信息、拦截和重定向未认证用户终端HTTP访问请求到Web接入认证服务器以及接受所述Web接入认证服务器的接入控制和QoS设置，通过报文过滤方式对用户终端报文进行接入验证，并检查和设置IP报文的DSCP值。

本发明解决其技术问题采用的技术方案进一步还包括：

所述步骤(1)中，所述重定向用户访问Web接入认证服务器，是指将用户的HTTP访问重定向到Web接入认证服务器的web认证页面；同时重定向HTTP链接中携带接入安全接入控制交换机的IP地址、用户MAC地址、用户接入的交换机端口、用户接入的VLAN信息、随机数和哈希计算值；所述接入安全接入控制交换机的IP地址用符号IPSW表示，所述用户MAC地址用符号MACU表示，所述用户接入的交换机端口用符号PORTSW表示，所述用户接入的VLAN信息用符号VLANU表示，所述随机数用符号RAND表示，所述哈希计算值用符号SHS表示；所述SHS是安全接入控制交换机对IPSW、MACU、PORTSW、VLANU、RAND、用户IP地址、接入认证当前时间和密码进行哈希计算后的值，且密码是由安全接入控制交换机和Web接入认证服务器共享的秘密信息；所述用户IP地址用符号IPU表示，所述接入认证当前时间用符号TimeS表示，所述密码用符号PASSWD表示。

所述步骤(2)中，所述Web接入认证服务器验证重定向信息是指，Web接入认证服务器提取重定向信息中的IPSW、MAC、PORTSW、VLAN、RAND和SHS值，以及提取用户报文源IP地址、接入认证当前时间和密码，然后对IPSW、MAC、PORTSW、VLAN、RAND、IPU、Time2和PASSWD进行哈希计算得到值SHW,如果SHW和SHS相同，则通过验证；所述用户报文源IP地址用符号IPU表示，所述接入认证当前时间用符号Time2表示，所述密码用符号PASSWD表示。

所述步骤(3)中，所述Web接入认证服务器对用户进行认证，除对用户的用户名和密码进行认证之外，还包括用户终端IP地址的合法性验证，Web接入认证服务器通过与IP地址分配服务器的交互来查询用户IP地址是否合法。

所述Web接入认证服务器包括以下单元：用户接入管理单元，用于管理和存储用户名、密码哈希值、用户安全接入权限、用户接入QoS参数和用户有效期；Web认证单元，用于实现Web认证逻辑功能，与用户终端交互；用户接入日志单元，用于记录用户接入网络的日志；交换机控制接口单元，用于对安全接入控制交换机进行查询和控制操作；外部通信接口单元，用于提供地址分配服务器与认证系统进行交互的接口以及网络管理系统与认证系统进行交互的接口。

所述安全接入控制交换机包括：用户终端信息学习单元，用于学习用户终端的相关多元组信息、多元组信息包括用户终端的MAC地址和IP地址、所在VLAN号以及所接入的交换机端口号；多元组信息维护单元，用于维护用户终端相关的多元组信息；Web认证单元，用于拦截和重定向未认证用户终端HTTP访问请求的模块；控制代理单元，用于接收web认证服务器的控制和信息查询；报文过滤单元，用于根据用户终端多元组信息对用户终端发出的所有报文进行报文过滤,以及检查和设置用户IP报文的DSCP值。

本发明的有益效果是：本发明基于多元素绑定的Web认证，更加适合各种网络接入环境和应用安全需求，而且内部状态简单，便于故障排除和提高系统的稳定性。结合QoS等级保证的多元素绑定的Web认证，有效解决网络IP报文中出现DSCP值不规范或DSCP值欺骗等问题，网络服务提供商更容易对各种业务提供IP QoS保障。

下面将结合附图和具体实施方式对本发明做进一步说明。

附图说明

图1是本发明的一种典型系统结构示意图。

图2是安全接入控制交换机的典型实现方式示意图。

图3是发明的一种典型认证方法示意图。

具体实施方式

本实施例为本发明优选实施方式，其他凡其原理和基本结构与本实施例相同或近似的，均在本发明保护范围之内。

请参看图1和附图2，为本基于交换机的网络认证系统的一种典型系统结构示意图，包括多个安全接入控制交换机、Web接入认证服务器和用户终端，其中Web接入认证服务器和安全接入控制交换机通过网络互联，安全接入控制交换机通过接入网络连接着用户终端。安全接入控制交换机的典型实现方式包括用户终端信息学习单元、多元组信息维护单元、Web认证单元、控制代理单元和报文过滤单元，控制代理单元与用户终端信息学习单元、多元组信息维护单元和Web认证单元相连，所述多元组信息维护单元还与用户终端信息学习单元、Web认证单元和报文过滤单元相连。本实施例中，用户终端信息学习单元中典型的多元组信息包括用户终端IP地址、用户终端MAC地址、交换机端口(PORT)、用户所在VLAN号(VLAN)。用户终端信息学习单元中学习多元组信息的方法可以使用的方式之一是通过解释用户终端TCP连接的第一个数据报文中获得。本实施例中多元组信息维护单元维护一个二维多元组信息的数据表，每一行记录对应一个用户。

本实施例中，报文过滤单元实现其功能的典型方式是使用访问控制列表(ACL)方式。其中控制代理单元的典型实施方式是使用标准的SNMP协议或网络配置协议(NETCONF)等管理协议。

本实施例中，中Web认证单元典型实现方式是通过HTTP协议包的拦截，并使用HTTP协议的重定向机制使用户访问重定向到Web接入认证服务器，同时重定向信息中携带认证所需信息。

本实施例中，Web接入认证服务器的典型实现方式包括用户接入管理单元、Web认证单元、用户接入日志单元、交换机控制接口单元和外部通信接口单元，Web认证单元与用户接入管理单元、用户接入日志单元、交换机控制接口单元和外部通信接口单元相连，用户接入管理单元还与外部通信接口单元相连。

请参看附图3，基于交换机的网络认证系统的一种典型认证方法，包括以下步骤：

(1)新用户终端接入网络，发起HTTP协议的Web访问请求，安全接入控制交换机的Web认证模块拦截用户访问请求，学习用户终端的相关多元组信息，并重定向用户访问到Web接入认证服务器。安全接入控制交换机通过捕获用户终端发送的HTTP协议数据报文中第一个TCP连接报文，分析得到用户终端MAC地址(MACU)、用户终端IP地址(IPU)、用户终端接入的VLAN号(VLANU)、用户终端接入的交换机端口号(PORTSW)等用户多元组信息。其中重定向用户访问Web接入认证服务器，是指将用户的HTTP访问重定向到Web接入认证服务器的web认证页面；同时重定向HTTP链接中携带接入安全接入控制交换机的IP地址(IPSW)、用户MAC地址(MACU)、用户接入的交换机端口(PORTSW)、用户接入的VLAN信息(VLANU)、随机数(RAND)和哈希计算值(SHS)。

SHS＝H(IPSW||MACU||PORTSW||VLANU||RAND||IPU||TimeS||PASSWD)

其中H(◆)是单向哈希函数，IPU是用户IP地址、TimeS是接入认证当前时间，PASSWD是安全接入控制交换机和Web接入认证服务器共享的密码。

(2)Web接入认证服务器验证重定向信息，如正确，Web接入认证服务器从重定向信息中提取交换机IP地址和用户终端多元组信息，并返回用户终端认证Web页面。Web接入认证服务器验证重定向信息是指，Web接入认证服务器提取重定向信息中的IPSW、MAC、PORTSW、VLAN、RAND和SHS值，以及提取用户报文源IP地址(IPU)、接入认证当前时间(Time2)和密码(PASSWD)，然后计算：

SHS＝H(IPSW||MACU||PORTSW||VLANU||RAND||IPU||Time2||PASSWD)

如果SHW和SHS相同，则通过验证。

(3)用户在用户终端的认证页面上输入用户名和密码，Web接入认证服务器对用户进行认证，如果未通过认证，则继续执行步骤3。Web接入认证服务器对用户进行认证，除了对用户的用户名和密码进行认证之外，还可以包括用户终端IP地址的合法性验证，Web接入认证服务器通过与IP地址分配服务器的交互来查询用户IP地址和用户MAC地址，是否是IP地址分配服务器分配的有效地址。

(4)用户如通过认证，则Web接入认证服务器查询用户的QoS接入等级，得到用户对应的DSCP值。

(5)Web接入认证服务器通过控制接口模块发送认证通过信息和DSCP值给安全接入控制交换机；

(6)安全接入控制交换机收到Web接入认证服务器的认证通过信息和DSCP值后，安全接入控制交换机执行用户认证通过相关动作，允许符合对应多元组信息的报文通过；同时检查和设置用户报文的DSCP值，使用户IP报文的DSCP值通过安全接入控制交换机后都设置为相应值。

其中安全接入控制交换机执行用户认证通过相关动作包括如下步骤：

①检查安全接入控制交换机是否存在对应用户多元组信息

②如不存在对应用户多元组信息，则步骤④；如存在则执行步骤③。

③将相应用户多元组信息下发到报文过滤单元，使得符合相关用户多元组特征的所有用户报文可以通过安全接入控制交换机。

④结束。